Criminalità informatica, Verizon: quando la minaccia arriva da dentro


In un report Verizon un approfondimento sulle cosiddette “insider threat”, le minacce alla sicurezza informatica che arrivano dall’interno delle aziende. Il Data Breach Investigations Report (DBIR) di Verizon ha aperto le porte sul mondo della criminalità informatica – ora, questo set di dati sposta però la prospettiva  sul ruolo delle minacce interne, andando a costituire il Verizon Insider Threat Report. Il 20% degli incidenti legati alla cybersecurity e il 15% delle violazioni dei dati analizzati nell’ambito del DBIR 2018 di Verizon provengono da soggetti interni all’organizzazione[*], e i maggiori fattori scatenanti sono il profitto finanziario (47,8%) e il puro divertimento (23,4%).

Questi attacchi, che sfruttano i privilegi di accesso ai dati interni e ai sistemi, spesso vengono individuati solo diversi mesi o anni dopo che si sono effettivamente verificati, rendendo significativo il loro effetto potenziale su un’azienda. La mancata gestione efficace dei privilegi dell’utente potrebbe comportare molti rischi per le aziende. Tuttavia, per molte organizzazioni le minacce interne rimangono un argomento tabù. Le aziende si mostrano troppo spesso restie a riconoscere, segnalare o intraprendere azioni contro i dipendenti che sono diventati una minaccia per la loro organizzazione. È come se una minaccia interna fosse una macchia sui loro processi di gestione e sul loro nome. 

L’Insider Threat Report di Verizon punta a cambiare questa percezione, offrendo alle organizzazioni una prospettiva basata sui dati per identificare le aree di rischio tra i dipendenti, scenari di casi reali e strategie di intervento da considerare quando si sviluppa un programma ad hoc, un Insider Threat Program completo. Ogni azione dovrebbe puntare a mitigare il rischio. “Per troppo tempo la violazione dei dati e gli attacchi alla sicurezza informatica interni sono stati tralasciati, e non sono stati presi sul serio. Spesso sono infatti motivo di disagio, o sono visti come un inconveniente per i soli reparti HR”, ha commentato Bryan Sartin, executive director security professional services di Verizon.

“Le cose devono cambiare. Le minacce informatiche non provengono solo da fonti esterne, e per combattere la criminalità informatica nella sua interezza dobbiamo anche concentrarci sulle possibili minacce che si trovano tra le mura di un’organizzazione”. Particolare attenzione è stata dedicata ai tipi di minacce interne che le organizzazioni possono trovarsi ad affrontare. Queste sono state inquadrate all’interno di specifici casi di scenario provenienti dal bagaglio di casi investigativi di Verizon – che vanno dall’individuazione (e convalida), alla risposta e all’indagine, e poi alle lezioni apprese (misure correttive) – sono state individuate quindi cinque personalità che possono minacciare un’azienda dall’interno: 

1. Il lavoratore distratto – Si tratta di dipendenti o partner che si appropriano indebitamente di risorse, violano le politiche di utilizzo, gestiscono dati in modo sbagliato, installano applicazioni non autorizzate e utilizzano soluzioni non approvate. Le loro azioni sono inappropriate ma non malevole, dato che in molti casi rientrano nel mondo dello Shadow IT (cioè al di fuori delle conoscenze e della gestione dell’IT). 2. L’agente infiltrato – Individui interni all’azienda reclutati, sollecitati o corrotti da soggetti esterni per sottrarre i dati. 3. Il dipendente insoddisfatto – Insider che cercano di danneggiare la propria organizzazione attraverso la distruzione dei dati o l’interruzione dell’attività aziendale.

4. La risorsa interna malintenzionata – Si tratta di dipendenti o partner con accesso a risorse aziendali che utilizzano i privilegi esistenti per accedere alle informazioni per guadagno personale. 5. La terza parte incompetente – Partner commerciali che compromettono la sicurezza a causa di negligenza, uso improprio o accesso o uso improprio agli asset aziendali. Il rapporto fornisce consigli pratici e contromisure per aiutare le organizzazioni a implementare un Insider Threat Program completo, che dovrebbe comportare uno stretto coordinamento tra tutti i dipartimenti, da quello legale all’IT Security, alle risorse umane, per rispondere agli incidenti e gestire le investigazioni digitali forensi. 

Due fattori sono fondamentali per raggiungere questo obiettivo: sapere quali sono le vostre risorse e, in ultima analisi, chi vi ha accesso. “Individuare e contenere le minacce interne richiede un approccio diverso rispetto alle attività relative alle minacce esterne”, continua Sartin. “Il nostro obiettivo è quello di fornire delle linee guida che consentano alle aziende di essere più proattive in questo processo e di superare la paura, l’incertezza e il disagio che circondano questa forma di criminalità informatica interna. Verizon si frappone quotidianamente fra i responsabili e le vittime della criminalità informatica, e condividendo scenari reali dal nostro database speriamo che le organizzazioni possano imparare e adottare le contromisure da noi consigliate per implementare a loro volta i propri programmi”.

Queste 11 contromisure possono contribuire a ridurre i rischi e migliorare la risposta agli incidenti: 1. Integrare le strategie di sicurezza e le politiche aziendali – Integrando le altre 10 contromisure (elencate di seguito), o meglio ancora integrando un Insider Threat Program completo con altre strategie già esistenti, come ad esempio un piano per la gestione del rischio, delle risorse umane o della proprietà intellettuale, può contribuire a rafforzare l’efficienza, la coesione e la tempestività nell’affrontare le minacce interne. A causa delle minacce avanzate, il monitoraggio attivo degli eventi comportamentali a livello di endpoint e il monitoraggio dell'attività di rete laterale rappresentano il nuovo standard in materia di sicurezza informatica.

2. Andare a caccia delle minacce – Potenziare gli strumenti di rilevamento delle minacce come la threat intelligence, il monitoraggio del dark web, l’analisi comportamentale e le soluzioni EDR (Endpoint Detection and Response) per individuare, monitorare, rilevare e investigare le attività sospette di utenti e account, sia all’interno che all’esterno dell’azienda. EDR non si preoccupa di quale tipo di virus o malware viene utilizzato: esamina il comportamento in atto. 3. Analizzare le vulnerabilità e condurre penetration test – Utilizzare le stime sulle vulnerabilità e i penetration test per identificare le falle delle strategie di sicurezza, compresi i possibili canali che un criminale può sfruttare per agire all’interno dell’ambiente aziendale.

4. Implementare le misure di sicurezza del personale – L’implementazione dei controlli delle risorse umane (come i processi di uscita dei dipendenti), l’accesso sicuro e la formazione sulla sicurezza può ridurre il numero di incidenti associati all’accesso non autorizzato ai sistemi aziendali. 5. Introdurre misure di sicurezza fisica – Utilizzare dispositivi fisici per l’accesso, quali badge identificativi, barriere di sicurezza e sorveglianti per porre limiti fisici, oltre ai metodi utilizzati per l’accesso digitale, come l’impiego di carte magnetiche o rilevatori di movimento e telecamere (implementate sia all’interno che all’esterno del perimetro aziendale), al fine di monitorare, allertare e registrare i modelli di accesso e le attività.

6. Implementare soluzioni per la sicurezza della rete – Attuare misure di sicurezza perimetrale e di segmento, come firewall, sistemi di rilevazione e prevenzione delle intrusioni, dispositivi gateway e soluzioni di Data Loss Prevention (DLP) per rilevare, raccogliere e analizzare il traffico sospetto potenzialmente associato alle attività di minaccia interne. Questo aiuterà a mettere in evidenza qualsiasi attività fuori orario, volumi di attività in uscita e l’uso di connessioni remote. Molti attacchi informatici hanno come obiettivo i dati sensibili. È possibile utilizzare strumenti di sicurezza standard per difendersi dalla perdita di dati. Ad esempio, un  Intrusion Detection System (IDS)  può avvisare dei tentativi degli hacker di accedere ai dati sensibili.

7. Utilizzare soluzioni di sicurezza degli endpoint – È opportuno adottare sistemi di sicurezza degli endpoint collaudati, come inventari per gli asset critici, policy sui supporti rimovibili, crittografia dei dispositivi e strumenti di File Integrity Monitoring (FIM) per dissuadere, monitorare, tracciare, raccogliere e analizzare le attività legate agli utenti. FIM è una tecnologia che monitora e rileva i cambiamenti nei file che possono indicare un attacco informatico. 8. Applicare misure di sicurezza dei dati – Utilizzare criteri di proprietà, classificazione e protezione dei dati, nonché misure per la cancellazione, al fine di gestirne il ciclo di vita e mantenerne la riservatezza, l’integrità e la disponibilità, senza dimenticare ovviamente le minacce interne.

9. Misure di gestione dell’identità e degli accessi – Prendere in considerazione misure di gestione dell’identità, degli accessi e dell’autenticazione per definire i limiti e proteggere gli accessi nell’ambiente aziendale. Tali misure possono essere ancora più strutturate se viene utilizzata una soluzione di Privileged Access Management (PAM) per l’accesso privilegiato. L’importanza per le organizzazioni di proteggere proattivamente gli account con privilegi non è un segreto. La soluzione Privileged Account Security (PAS) non è essenziale solo nella difesa di reti e dati da attacchi informatici e cyber criminali, ma anche nella costruzione di una postura di sicurezza informatica efficace e proattiva che possa resistere agli attacchi più aggressivi.

10. Stabilire le competenze nella gestione degli incidenti – L’istituzione di un processo di gestione degli incidenti, con uno schema per reagire alle minacce interne che indichi anche le risorse, appositamente formate e incaricate di prendervi parte, renderà le attività di intervento nell’ambito della sicurezza informatica più efficienti ed efficaci nell’affrontare le minacce interne. 11. Affidarsi a risorse dedicate per le investigazioni digitali forensi – Avere a disposizione una risorsa dedicata a queste verifiche, che sia in grado di condurre indagini approfondite e ad ampio raggio, che vanno dall’analisi di log, file, endpoint e traffico di rete, in incidenti di sicurezza informatica spesso delicati e correlati all’attività umana (o all’account utente).

Il nuovo rapporto Insider Threat (in omaggio per tutti) di Verizon si basa sulle lezioni apprese da centinaia di indagini sulla violazione dei dati da parte della squadra digitale forense di fama mondiale di Verizon. Offre inoltre nuovi dati e approfondimenti da parte di gruppi e partner industriali, così come il Rapporto di investigazione sulla violazione dei dati (DBIR) 2018 di Verizon. L’Insider Threat Report di Verizon è disponibile a questo link. Con sede a New York, Verizon Communications Inc. (NYSE, Nasdaq: VZ) gestisce la rete wireless più affidabile d’America e la rete a fibra ottica più avanzata, e fornisce soluzioni aziendali integrate ai clienti in tutto il mondo. [*] Categoria ‘Privilege Misuse’ classificata anche come ‘Insider and Privilege Misuse’. Via: CompCom



Nessun commento:

Posta un commento